Ny fælles bødevejledning for EU fra EDPB
Det Europæiske Databeskyttelsesråd (EDPB) har vedtaget en fælles bødevejledning for EU, hvilket skal bidrage til en mere detaljeret metode til beregning af bøder for brud på GPDR. Derudover giver vejledningen generelle indikationer på det udgangspunkt for bøder, der bør følge med forskellige overtrædelser, alt efter deres grovhed. Vejledningen skal i høring i slutningen af juni 2022.
Vejledningen kommer i forlængelse af tidligere fremsatte retningslinjer for anvendelsen af administrative bøder i forbindelse med brud på GDPR. Selve beregningsmodellen i den nye vejledning minder om den beregningsmodel, som Datatilsynet offentliggjorde i deres vejledning om fastsættelse af bøder i 2021.
Beregningsmodellen fra EDPB er således bygget op over samme trin, som vi kender fra den danske vejledning:
- Fastsættelse af bødens grundbeløb
- Justering på baggrund af en konkret vurdering af overtrædelsens karakter, alvor og varighed
- Vurdering af skærpede og formidlede omstændigheder
- Eventuel justering af beløbet efter databeskyttelsesforordningens maksimum
Derudover er der tilføjet et trin mere, hvorefter det skal vurderes, om det bødeniveau, man er nået frem til, rent faktisk lever op til kravene i databeskyttelsesforordningen om, at bøder skal være effektive, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning. I vejledningen fra EDPB fremgår det, at en myndighed endda kan vælge at øge bøden, såfremt det står klart, at det bødeniveau, man er nået frem til, ikke er tilstrækkelig afskrækkende.
NJORDS bemærkninger
Det fokus, der ligger i den nye vejledning fra EDPB i form af overvejelserne om effektivitet, proportionalitet og afskrækkende virkninger i forhold til bødestørrelserne, er et fokus, som ud fra et dansk perspektiv er udfordret. De hidtidige afgørelser af bødeniveau for overtrædelse af databeskyttelsesforordningen står i skrap kontrast til de bødeniveauer, som indtil videre er set i de øvrige EU-lande, hvor der idømmes bøder i millionklassen. Indtil videre er den største bøde, der er givet i Danmark, på 100.000 kr.
Den manglende håndhævelse af reglen om, at bøder skal have en afskrækkende effekt, vil kunne medføre en lemfældig omgang med personoplysninger, og det kan få konsekvenser for beskyttelsen af fysiske personers grundlæggende rettigheder.